[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01151] 【注意喚起】Shibboleth IdPの脆弱性について

Subject: [upki-fed:01151] 【注意喚起】Shibboleth IdPの脆弱性について
Date: Tue, 28 Mar 2017 15:40:43 +0900
From: 学認事務局　末永 <xxxxxxxxxxxxxx@xxxxxxxxx>

IdP運用ご担当者　各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Shibboleth Projectより，Shibboleth IdPに関する脆弱性が発表されています。[1]
本脆弱性は、実装上の欠陥により多要素認証を回避されてしまう可能性があります。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

- Shibboleth IdP 3.3.1未満

アナウンスによれば、主に影響するのは多要素認証を提供するサードパーティ
実装とのことです。

Shibboleth IdP付属のものでは、可能性を否定はできないものの exploit 可
能な手段は発見されていないようです。

こちらに関しまして、続報がありましたら改めてご連絡いたします。


対策
====

新しいバージョン 3.3.1 へアップデートしてください。

Shiboleth IdP 3.3.1
https://shibboleth.net/downloads/identity-provider/3.3.1/

学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデー
トに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847


参考情報
========

詳細は以下の参考情報をご参照ください。

[1] Shibboleth Identity Provider Security Advisory [15 March 2017]
    https://shibboleth.net/community/advisories/secadv_20170315.txt

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
　電話番号　　　 03-4212-2261
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Follow-Ups:
- [upki-fed:01166] Re: 【注意喚起】Shibboleth IdPの脆弱性について
  - From: Takeshi NISHIMURA

Prev by Date: [upki-fed:01150] OpenIdP障害のお詫び
Next by Date: [upki-fed:01152] 【学認】新規IdP/SP参加のお知らせ（2月・3月参加）
Previous by thread: [upki-fed:01150] OpenIdP障害のお詫び
Next by thread: [upki-fed:01166] Re: 【注意喚起】Shibboleth IdPの脆弱性について
Index(es):
- Date
- Thread